Перейти к содержимому
Калькуляторы

Бюджетный бордер 2fw 1G

@bqd 

это не отказоустойчивость. При смерти одной будет деградация (потеря одной fv-ноги).

ISR4431 с fv тоже довольно нетороплив...

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

ну да расскажите нам почему потеря одной ноги это обязательно деградация

и как правильно делать отказоустойчивое подключение

 

при смерти одного бордера пакеты исходящие пойдут в другой или третий четвертый (какой ближе будет по оспф метрикам)

и маршрутизатор стандартно выпустит пакет по маршруту в своем FIB

никакой деградации не случится вообще.

Да, для входящих пакетов на время сходимости между провами возможны потери,

но та же херня произойдет и при одном маршрутизаторе с двумя и более аплинками

 

если из предыдущего сообщения не понятно то у меня не транзит, а обычный тупиковый энтырпрайс

 

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

т.е. ситуацию с одновременной потерей функциональности одно из двух роутеров и потерей связности до аплинка у второго вы не рассматриваете в принципе? 

...я просто тоже энтерпрайс, и у меня 2 роутера с 2 аплинками от 2-х провайдеров на каждом...

Изменено пользователем guеst

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

ну да и конечно вторые линки провайдер физически протянул через разные колодцы и воткнул в разные CPE свичи, которые воткнуты в разные UPS итп...

не пробовали посчитать целесообразность такого решения, т.е во сколько обходится такая инсталяция, сколько %SLA добавляется (или вычитается см. ниже)

и сколько стоит час/минута/секунда недоступности сервиса для вашего планктона?

 

вот почитай умного дядьку https://blog.ipspace.net/2019/04/decide-how-badly-you-want-to-fail.html

там кроме всего прочего есть такая, на мой взгляд, весьма мудрая фраза: adding redundancy reduces availability

там это обосновывается немного другим примером, но по моему опыту этот постулат универсален в любой более-менее сложной системе и не только в ИТ

 

короче, тут получается спор: over-engineering vs KISS

я сторонник последнего и не надо голословно утверждать что "это не отказоустойчивость". Ты мой дизайн не видел чтобы давать ему оценку.

В моем случае я безболезненно могу потерять 3 маршрутизатора и/или провайдера или потерять по одному маршрутизатору на каждом сайте и DCI линк.

 

Кстати, в твоем сценарии с двумя маршрутизаторами я бы не стал переусложнять. Собственно такой сценарий у меня есть. Так что проверено на практике.

И практика показывает,что если проблема и происходит то чаще от кривых рук чем от недостаточно отказоустойчивого дизайна.

А в простом дизайне кривые руки косячат меньше чем в сложном.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

В 07.08.2019 в 09:57, bqd сказал:

у меня под FV трудятся ISR4431 с 16Г мозга

всего их 4 штуки

каждый держит один FV от своего аплинка + кеш (soft-configaration in) + 3 FV от соседей по ibgp (+ примерно миллион префиксов)

с каким софтом работают?   Boost лицензия активирована? хотя с вашей загрузкой uplink/downlink это лишнее.

 

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Cisco IOS-XE 03.16.04b.S.155-3.S4b-ext (UNIVERSALK9_NPE)

лицензия только одна: ipbasek9

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

В 03.08.2019 в 22:50, reef сказал:
В 03.08.2019 в 21:22, fractal сказал:

4451x и 16gb озу, 5 fw держит норм 

профит сомнительный, он по цене догоняет 1001-X а по производительности сильно отстает.

Да и с лицензиями там какая то чехарда.

 

В 07.08.2019 в 09:57, bqd сказал:

у меня под FV трудятся ISR4431 с 16Г мозга

всего их 4 штуки

каждый держит один FV от своего аплинка + кеш (soft-configaration in) + 3 FV от соседей по ibgp (+ примерно миллион префиксов)

 

 

4431 +16 Gb RAM  с RTU лицензией PERF  зажат программно на гигабит,  т.е. в таком виде может спокойно выступать как RR или гиабитный бордер с полноценным FV.

бюджет в пределах 160т.р. за б/у-шку, собственно примерно то на что рассчитывает топикстартер.

 

 

Изменено пользователем maruk

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

тазик на двух 5450 с микротиком спокойно ест 3 аплинка с FV и пару пиринга. 

Упор 1 ядра в 100% не мешает, но мозолит глаза, на сеть не влияет. Всасывает префиксы на скорости как их отдают. Траблшутить надо уметь, немного не привычно было поначалу. 

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

9 часов назад, korsakik сказал:

тазик на двух 5450 с микротиком спокойно ест 3 аплинка с FV и пару пиринга. 

Упор 1 ядра в 100% не мешает, но мозолит глаза, на сеть не влияет. Всасывает префиксы на скорости как их отдают. Траблшутить надо уметь, немного не привычно было поначалу. 

Почему bird не воткнули, раз у вас ПК, а не железка?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

10 часов назад, korsakik сказал:

тазик на двух 5450 с микротиком спокойно ест 3 аплинка с FV и пару пиринга. 

Упор 1 ядра в 100% не мешает, но мозолит глаза, на сеть не влияет. Всасывает префиксы на скорости как их отдают. Траблшутить надо уметь, немного не привычно было поначалу. 

извиняюсь, у микротика нет траблшута, от слова совсем. то недоразумение которое там на борту это не траблшут а порно в чистом виде.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Очень давно лет надцать назад,

я также мучался с cisco, памятью и FV плюнул и поставил таз c Linux. Сейчас таз пропускает через себя более 20ГБит/с,  про проблемы Fv и памятью, лицензии, версии Ios, я давно не слышал а тут опять сову на глобус натягивают.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Таз это софт. Когда вас будут драть во все дыры ддосом, тогда поймёте разницу между железом и софтом.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

46 минут назад, TriKS сказал:

Таз это софт. Когда вас будут драть во все дыры ддосом, тогда поймёте разницу между железом и софтом.

И те же сказки про ddos, джитеры и cisco. Ни чего не поменялось. Советую прочитать про возможности современных сетевых карт, серверных материнских плат, ядра Linux. Вы наверное будете удивлены что некоторые модели роутеров от известных брендов это софт роутеры и что многие уже продают не железки а образы для pc как решения операторского класса.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

1 час назад, TriKS сказал:

Таз это софт. Когда вас будут драть во все дыры ддосом, тогда поймёте разницу между железом и софтом.

Железо ляжет без COPP и порушит все сессии?))

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

1 час назад, nickD сказал:

Очень давно лет надцать назад,

я также мучался с cisco, памятью и FV плюнул и поставил таз c Linux. Сейчас таз пропускает через себя более 20ГБит/с,  про проблемы Fv и памятью, лицензии, версии Ios, я давно не слышал а тут опять сову на глобус натягивают.

Ну года дорастете хотябы до 100 мегабит - поговорим. Про гигабиты и транзитные AS я молчу.

 

 

Мы получили ценные сведенья, некто, nickD ниосилил, сделал костыль и решил высказаться.

 

1 час назад, nickD сказал:

И те же сказки про ddos, джитеры и cisco. Ни чего не поменялось. Советую прочитать про возможности современных сетевых карт, серверных материнских плат, ядра Linux. Вы наверное будете удивлены что некоторые модели роутеров от известных брендов это софт роутеры и что многие уже продают не железки а образы для pc как решения операторского класса.

Советую вам сейчас не нести херни на форуме профессиональных сетевиков. Очень плохо закончится, например втаптыванием в говно.

 

3 минуты назад, vurd сказал:

Железо ляжет без COPP и порушит все сессии?))

Тссс, не спугни, набег непуганых пионеров у которых 100 мегабит аплинка. ,)

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

В 02.08.2019 в 16:46, Zerozed сказал:

Вот это вы мне сейчас Америку открыли. Все время думал что там фикс 4. Но это не повод грубить.

Надеюсь на вопросы ТС мы ответили.

 

У 1002 фиксированно 4 гига памяти :( Но у меня 3 фуллвью держала. Сейчас спокойно держит 2 фуллвью.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

48 минут назад, ayf сказал:

У 1002 фиксированно 4 гига памяти :( Но у меня 3 фуллвью держала. Сейчас спокойно держит 2 фуллвью.

У меня тоже держит 2 впритык. Но тут разговор на будущее и люди с уверенностью говорят о возможности расширения памяти до 8 гигов.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

5 часов назад, Zerozed сказал:

У меня тоже держит 2 впритык. Но тут разговор на будущее и люди с уверенностью говорят о возможности расширения памяти до 8 гигов.

Тут про другие сказать не могу. а 1002 не апгрейдится. Что весьма печально.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

В 10.08.2019 в 14:06, TriKS сказал:

Таз это софт. Когда вас будут драть во все дыры ддосом, тогда поймёте разницу между железом и софтом.

может при 10+гбит аплинка разница и будет, на паре гигабит - даже с тазиком 10-летней тухлости (какой-нить nehalem, да) проблем не возникнет, если руки из плеч. канал в полку и дропы пакетов на зафлуженном линке - да, но не более того.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

При 10+гбит. При нормальной материнке и сетевых картах всё упирается в количество ядер, количество cpu и их частоту.

При правильном подборе и прямых руках при ddos всё продолжает работать,

в самом критическом случае в полку уйдут только те ядра которые привязаны к интерфейсу с которого сыплется DDOS,

но обычно он и так в полке, на крайний случай на нормальных сетевых картах например Intel x520 есть аппаратный фаэрвол и классификатор.

ы сидели под DDoS 10ГБит/c в сумме, неприятно, но жить можно, пока абонент не попросился в блэкхол на uplink добавить.

 

Да на серьёзный нагруженный узел таз не поставишь.

Но по моему задачи до 40ГБит/c на современных серверных платформах решать можно спокойно

и это будет во много раз дешевле и гибче.

В современных реалиях, под задачи топик стартера,

считать мегобайтики для FV и думать как зарезать префиксы при наличии более дешёвых,

производительных и гибких альтернатив как то не то.

 

Если с linux копаться трудно,

есть например Vyatta или что-то типа продукции ВАС Экспертс у них и поддержка есть и куча фич к бордеру.

А вот Микротик не советую :)

 

А вот темка и про soft router'ы, включая Cisco CSR1000V и Juniper vMX. Вроде тренд виден.

 

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

@nickD Поддерживаю. И при чем тут DDoS. Нам на скорости интерфейса пофиг какие пакеты форвардить. DDoS там или нет нам до лампочки.

Пакет и пакет, передали и взяли следующий. Это пусть дальше файрволы загибаются и балансировщики.

А наши NC пакеты (BGP keepalive/updates) в своей приоритетной очереди пойдут. COPP реализуется iptables-ом.

Правда железо все же может оказаться дешевле софта в итоге если надо чтоб оно работало в жопе мира без присмотра.

 

@myst Хорош ретроградствовать, обернись вокруг. Мир изменился. Прочитай про kernel-offload про DPDK и OpenOnload.

На график посмотри как с версиями ядра меняется производительность форвардинга.

lpc-trie-perf-v2.svg

CloudFlare вся на тазиках, а Juniper уже года 3 продает свои vMX и vSRX с поддержкой 40Г (правда строго для интеловых процов и NIC)

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

4 часа назад, bqd сказал:

Хорош ретроградствовать, обернись вокруг. Мир изменился. Прочитай про kernel-offload про DPDK и OpenOnload.

На график посмотри как с версиями ядра меняется производительность форвардинга.

lpc-trie-perf-v2.svg

CloudFlare вся на тазиках, а Juniper уже года 3 продает свои vMX и vSRX с поддержкой 40Г (правда строго для интеловых процов и NIC)

вы щас будите рассказывать приемущества CPU над ASIC?

 

5 часов назад, nickD сказал:

При 10+гбит. При нормальной материнке и сетевых картах всё упирается в количество ядер, количество cpu и их частоту.

При правильном подборе и прямых руках при ddos всё продолжает работать,

в самом критическом случае в полку уйдут только те ядра которые привязаны к интерфейсу с которого сыплется DDOS,

но обычно он и так в полке, на крайний случай на нормальных сетевых картах например Intel x520 есть аппаратный фаэрвол и классификатор.

ы сидели под DDoS 10ГБит/c в сумме, неприятно, но жить можно, пока абонент не попросился в блэкхол на uplink добавить.

 

Да на серьёзный нагруженный узел таз не поставишь.

Но по моему задачи до 40ГБит/c на современных серверных платформах решать можно спокойно

и это будет во много раз дешевле и гибче.

В современных реалиях, под задачи топик стартера,

считать мегобайтики для FV и думать как зарезать префиксы при наличии более дешёвых,

производительных и гибких альтернатив как то не то.

  

Если с linux копаться трудно,

есть например Vyatta или что-то типа продукции ВАС Экспертс у них и поддержка есть и куча фич к бордеру.

А вот Микротик не советую :)

 

А вот темка и про soft router'ы, включая Cisco CSR1000V и Juniper vMX. Вроде тренд виден.

 

Сделайте выгрузку конфигурации тазика с линуксом 1й командой?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

4 часа назад, bqd сказал:

Juniper уже года 3 продает свои vMX и vSRX с поддержкой 40Г

они до 100G. Но асики от этого не вырастают

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

5 минут назад, vvertexx сказал:

они до 100G. Но асики от этого не вырастают

На мой взгляд смысл в асик есть но на скоростях как минимум более 40ГБит/c.

И с развитем серверного железа эта планка повышается.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Гость
Ответить в тему...

×   Вставлено в виде отформатированного текста.   Вставить в виде обычного текста

  Разрешено не более 75 смайлов.

×   Ваша ссылка была автоматически встроена.   Отобразить как ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставить изображения напрямую. Загрузите или вставьте изображения по ссылке.